Un actor de amenazas alineado con China conocido como TA415 se ha atribuido a campañas de spear-phishing dirigidas al gobierno de EE. UU., grupos de expertos y organizaciones académicas que utilizan señuelos de temática económica entre EE. UU. y China.
"En esta actividad, el grupo se hizo pasar por el actual presidente del Comité Selecto de Competencia Estratégica entre Estados Unidos y el Partido Comunista Chino (PCCh), así como del Consejo Empresarial Estados Unidos-China, para apuntar a una variedad de personas y organizaciones predominantemente enfocadas en las relaciones, el comercio y la política económica entre Estados Unidos y China", dijo Proofpoint en un análisis.
La compañía de seguridad empresarial dijo que la actividad, observada a lo largo de julio y agosto de 2025, es probablemente un esfuerzo por parte de los actores de amenazas patrocinados por el estado chino para facilitar la recopilación de inteligencia en medio de las conversaciones comerciales en curso entre Estados Unidos y China, y agregó que el grupo de piratas informáticos comparte superposiciones con un grupo de amenazas rastreado ampliamente bajo los nombres APT41 y Brass Typhoon (anteriormente Bium).
Los hallazgos se producen días después de que el Comité Selecto de la Cámara de Representantes de EE. UU. sobre China emitiera una advertencia de una serie "en curso" de campañas de ciberespionaje altamente dirigidas vinculadas a actores de amenazas chinos, incluida una campaña que se hizo pasar por el congresista del Partido Republicano John Robert Moolenaar en correos electrónicos de phishing diseñados para entregar malware de robo de datos.
La campaña, según Proofpoint, se centró principalmente en personas especializadas en comercio internacional, política económica y relaciones entre Estados Unidos y China, enviándoles correos electrónicos que se burlaban del Consejo Empresarial Estados Unidos-China que los invitaba a una supuesta sesión informativa a puerta cerrada sobre asuntos entre Estados Unidos y Taiwán y Estados Unidos-China.
Los mensajes se enviaron utilizando la dirección de correo electrónico "uschina@zohomail[.]com", al tiempo que se basa en el servicio VPN Cloudflare WARP para ofuscar la fuente de la actividad. Contienen enlaces a archivos protegidos con contraseña alojados en servicios de uso compartido en la nube pública como Zoho WorkDrive, Dropbox y OpenDrive, dentro de los cuales existe un acceso directo de Windows (LNK) junto con otros archivos en una carpeta oculta.
La función principal del archivo LNK es ejecutar un script por lotes dentro de la carpeta oculta y mostrar un documento PDF como señuelo para el usuario. En segundo plano, el script por lotes ejecuta un cargador de Python ofuscado llamado WhirlCoil que también está presente en el archivo.
"Las variaciones anteriores de esta cadena de infección descargaron el cargador de Python WhirlCoil de un sitio de Paste, como Pastebin, y el paquete de Python directamente desde el sitio web oficial de Python", señaló Proofpoint.
El script también está diseñado para configurar una tarea programada, normalmente denominada GoogleUpdate o MicrosoftHealthcareMonitorNode, para ejecutar el cargador cada dos horas como forma de persistencia. También ejecuta la tarea con privilegios SYSTEM si el usuario tiene acceso administrativo al host comprometido.
Posteriormente, el cargador de Python establece un túnel remoto de Visual Studio Code para establecer un acceso de puerta trasera persistente y recopila información del sistema y el contenido de varios directorios de usuarios. Los datos y el código de verificación del túnel remoto se envían a un servicio gratuito de registro de solicitudes (por ejemplo, requestrepo[.]com) en forma de blob codificado en base64 dentro del cuerpo de una solicitud HTTP POST.
"Con este código, el actor de amenazas puede autenticar el túnel remoto de VS Code y acceder de forma remota al sistema de archivos y ejecutar comandos arbitrarios a través de la terminal integrada de Visual Studio en el host objetivo", dijo Proofpoint.
